III.3.1 Dekkingselementen eigen schade

Een van de belangrijkste en meest kenmerkende elementen van de cyberverzekering is de dekking voor te leveren diensten. In plaats van de verzekerde een ‘zak geld’ te geven voor geleden schade, biedt de cyberverzekering bij privacy-inbreuken dekking voor (de kosten van) het inschakelen van experts op het gebied van IT, communicatie en juridische kwesties.1

Deze kosten, vaak aangeduid als incident-responsekosten of crisis-/incident-managementkosten, vallen meestal uiteen in (i) kosten voor juridische diensten over en begeleiding bij de eventuele melding aan de toezichthoudende autoriteit en eventueel de betrokkenen, (ii) kosten voor IT-forensisch onderzoek en (iii) kosten voor PR-adviseurs. Ik kom hierop nader terug in §3.4.

De meeste verzekeraars bieden tevens dekking voor bijkomende diensten zoals krediet- en identiteitsmonitoring, call centers en mediakosten, bijvoorbeeld om nieuwsberichten en mededelingen te verspreiden.2 Deze dekkingselementen schaar ik onder reputatieschade en bespreek ik in §3.5. Voor herstelkosten heb ik een aparte paragraaf opgenomen (§3.6). Deze kosten overlappen gedeeltelijk met incident-responsekosten, maar verdienen gelet op het indemniteitsbeginsel een aparte bespreking. Een ander belangrijk en kenmerkend dekkingselement van de cyberverzekering is de boete die de Autoriteit Persoonsgegevens op grond artikel 83 AVG kan opleggen. Vrijwel iedere verzekeraar voorziet in deze dekking. Ik bespreek dit in §3.7.

Als gevolg van een cyberincident kunnen bedrijfsprocessen geheel stil komen te liggen. Ook stagnatieschade (bedrijfsschade) is een vorm van schade die gedekt is onder de cyberverzekering. Dit bespreek ik in §3.8. Een aparte categorie is schade als gevolg van cybercriminaliteit. Dit komt aan de orde in §3.9.3 Ik begin deze paragraaf evenwel met de bespreking van (de definitie van) het verzekerd voorval (§3.2) en begrenzing van de dekking naar tijd, opzet en causaliteit (§3.3).